# چرا امضای الکترونیک بدون احراز هویت بی‌اعتبار است؟

_یک امضا فقط وقتی ارزش دارد که بتوان ثابت کرد چه کسی آن را گذاشته است._

## TL;DR

خودِ امضا (یک تصویر یا کلیک) به‌راحتی قابل انکار است؛ آنچه آن را معتبر می‌کند، اثباتِ هویتِ امضاکننده است. ماده ۱۰ قانون تجارت الکترونیکی، «شناسایی هویت امضاکننده» را یکی از شرط‌های امضای مطمئن می‌داند و ماده ۱۳ می‌گوید ارزش اثباتی با قوّتِ روش‌های امنیتی سنجیده می‌شود. به همین دلیل ال‌امضا امضا را به احراز هویت شاهکار گره می‌زند.

---

یک آزمایش فکری ساده: فرض کنید یک PDF دارید که پایش یک تصویر امضا چسبانده شده است. این امضا را چه کسی گذاشته؟ کِی؟ آیا واقعاً صاحب امضا این کار را کرده یا کسی فایل تصویر امضا را کپی کرده است؟ هیچ‌کدام از این‌ها از خودِ تصویر قابل اثبات نیست. این، ضعفِ بنیادیِ امضای بدون احراز هویت است.

## مشکل کجاست؟ امضا بدون هویت یعنی «قابل انکار»

در دعوای حقوقی، طرفی که نمی‌خواهد به تعهدش عمل کند، ساده‌ترین کاری که می‌کند این است: «این امضا مالِ من نیست» یا «من این را امضا نکردم». اگر هیچ مدرکی نباشد که هویتِ امضاکننده را در لحظه‌ی امضا اثبات کند، این انکار به‌سختی رد می‌شود. خودِ امضا، بدون هویت، تقریباً بی‌وزن است.

## قانون چه می‌گوید؟ هویت، شرطِ امضای مطمئن است

ماده ۱۰ قانون تجارت الکترونیکی برای «امضای الکترونیکی مطمئن» چهار شرط می‌گذارد که یکی از آن‌ها مستقیماً درباره‌ی هویت است:

> ماده ۱۰ (بند ب) — [امضای مطمئن باید] هویت امضاءکننده‌ی «داده‌پیام» را معلوم نماید.

و ماده ۱۳ می‌گوید ارزش اثباتیِ سند با «تناسب روش‌های ایمنیِ به‌کارگرفته‌شده» سنجیده می‌شود. ترجمه‌ی ساده: هرچه احراز هویت قوی‌تر، امضا معتبرتر.

## احراز هویت دقیقاً چه چیزی را اضافه می‌کند؟

وقتی پیش از امضا هویت احراز شود، یک زنجیره‌ی اثبات شکل می‌گیرد:

- تطابق شماره موبایل و کد ملی (شاهکار) — یعنی این موبایل واقعاً به این کد ملی تعلق دارد.
- کد یک‌بارمصرف روی همان موبایل — یعنی شخص به آن خط دسترسی داشته و قصد امضا داشته است.
- ثبت زمان، آی‌پی و وضعیت امضاکننده در لحظه‌ی امضا — یعنی یک رد و نشانِ قابل‌ارائه.

این دقیقاً همان چیزی است که یک امضای ساده را به یک [امضای الکترونیکیِ پیشرفته و دارای ارزش اثباتیِ بالا](/blog/etebare-ghanooni-emzaye-electronic-dadgah) تبدیل می‌کند.

## اما احراز هویت هم حدّ خودش را دارد

باید صادق بود: شاهکار تطابق موبایل و کد ملی را ثابت می‌کند، نه اینکه «شخصِ پشت گوشی» حتماً همان صاحب کد ملی است. برای همین احراز هویتِ قوی معمولاً ترکیبی از چند لایه است. این موضوع را در [احراز هویت غیرحضوری (eKYC) چیست](/blog/ehraze-hoviyat-gheyrehozoori-ekyc-chist) کامل توضیح داده‌ایم.

## رویکرد ال‌امضا

در ال‌امضا، امضا و احراز هویت دو کار جدا نیستند؛ امضا فقط بعد از احراز هویتِ موفق و کد یک‌بارمصرف ممکن می‌شود. این یکپارچگی، همان چیزی است که سند نهایی را قابل‌دفاع می‌کند — نه صرفِ وجود یک تصویر امضا.

[امضای قراردادِ گره‌خورده به هویت را رایگان امتحان کنید ←](/register)